Top 9 giải pháp hữu ích cho Windows-based DHCP Server – Phần 2


Xem thêm

–Phần 1

–Phần 3

4- Ngăn chặn các DHCP Server không tin cậy (rogue) hoạt động trên mạng bằng việc cấp phép (authorize) cho các DHCP Server trong AD

Trong Windows Server, dịch vụ DHCP Server được tích hợp với AD nhằm cung cấp cơ chế cấp phép cho các DHCP server. Một DHCP server chưa được cấp phép (unauthorized server) hoạt động trên mạng có thể phá vỡ tính ổn định, tin cậy của hệ thống mạng bằng việc cấp phát sai địa chỉ hoặc các DHCP option (DNS Server, WINS Server, Default gateway, Domain name..).

Một DHCP Server đồng thời làm Domain Controller hoặc chỉ là Domain member server sẽ truy vấn trong AD cho danh sách các server đã được cấp phép (authorized server). Nếu địa chỉ IP của nó không nằm trong danh sách các authorized server, dịch vụ DHCP Server không thể hoàn tất quá trình khởi động và tự động tắt. Điều này đồng nghĩa với việc nó trở thành rogue (hay unauthorized) DHCP Server và không thể cung cấp dịch vụ DHCP cho các client trong mạng. Đây là một vấn đề khá phổ biến đối với nhiều quản trị mạng đang thực hiện cài đặt và cấu hình một DHCP server trong môi trường AD mà không authorize cho server trước.

Đối với một DHCP server không phải là thành viên của AD domain (stand-alone server), nó sẽ gửi lên mạng một thông điệp DHCPInform (dạng broadcast) để tìm kiếm thông tin về root AD domain – nơi mà các DHCP server khác được cài đặt và cấu hình trong domain đó. Các DHCP server khác trên mạng đáp trả lại bằng một thông điệp DHCPAck – chứa thông tin về AD root domain mà stand-alone DHCP server đang tìm. Sau đó, stand-alone DHCP server này bắt đầu truy vấn AD cho danh sách các authorized DHCP server và chỉ khởi động dịch vụ DHCP Server nếu địa chỉ IP của nó nằm trong danh sách này.

Authorization làm việc ra sao?

Quá trình authorization cho các máy DHCP server phụ thuộc vào vai trò (role) mà server đó đảm trách trên mạng. Có 3 role hay 3 loại server là:

  • Domain controller (DC): đây là máy tính lưu trữ và duy trì một bản sao của cơ sở dữ liệu AD. Đồng thời cung cấp cơ chế chứng thực, quản lý an toàn cho các tài khoản máy tính và người dùng là thành viên của domain (domain member user).
  • Member server: là máy tính không hoạt động như là một DC nhưng đã tham gia (join) vào domain (tức là trong AD database có một tài khoản thành viên – membership account dành cho nó).
  • Stand-alone server: máy tính này không phải là DC cũng không phải là Member server trong domain, đơn giản nó chưa join vào domain mà được biết đến trên mạng qua tên workgroup mà nó làm thành viên.

Nếu bạn triển khai AD, tất cả các máy tính đang làm DHCP server phải là DC hoặc domain member server trước khi chúng có thể được authorize và sau đó cung cấp dịch vụ DHCP cho các client.

Dù không được khuyến khích, bạn vẫn có thể sử dụng một stand-alone server làm DHCP server miễn là nó không nằm trong cùng subnet với bất kỳ authorized DHCP server nào. Khi một stand-alone DHCP server phát hiện thấy một authorized server nằm trên cùng subnet với nó, nó sẽ tự động ngừng việc cấp phát địa chỉ IP cho các DHCP client.

5- Thực thi các chính sách truy cập mạng đối với client bằng cách cấu hình để DHCP làm việc với Network Access Protection (NAP)

(Phần này dành riêng cho nền tảng Windows Server 2008)

NAP là một nền tảng cung cấp các thành phần thực thi chính sách (policy enforcement components) nhằm đảm bảo rằng các máy tính khi kết nối tới hoặc truyền thông trên mạng phải tuân thủ các yêu cầu về “sức khỏe” (health) do người quản trị đã quy định trước. Sử dụng DHCP-NAP, bạn có thể lựa chọn để giới hạn mức độ truy cập mạng của các máy tính không đáp ứng đủ các yêu cầu về sức khỏe hệ thống.

Tức là các máy tính có sức khỏe yếu (do bị nhiễm malware, các cấu hình bảo mật lỏng lẻo, chưa được cập nhật các bản vá lỗi…) sẽ chỉ được phép truy cập tới vùng mạng bị hạn chế (restricted network) – là nơi chứa các tài nguyên cần thiết để cập nhật cho các máy tính này, giúp chúng thỏa mãn các yêu cầu về sức khỏe. Sau khi khỏe lại, chúng mới có thể truyền thông bình thường và truy cập tới các khu vực khác không bị giới hạn khác.

Với DHCP enforcement, một client phải đáp ứng đầy đủ các quy định về sức khỏe (compliant computer) để nhận về một cấu hình địa chỉ IP có mức truy cập không bị giới hạn (unlimited access) từ DHCP Server (lưu ý, unlimited access ở đây chỉ là tất cả quyền hạn của một client thông thường). Ngược lại, đối với noncompliant computer (các client chưa thỏa mãn yêu cầu về sức khỏe), DHCP server sẽ gán cho nó một cấu hình địa chỉ IP mà khi sử dụng cấu hình này nó chỉ được phép truy cập tới restricted network. DHCP enforcement sẽ thi hành các đòi hỏi chính sách sức khỏe mỗi lần DHCP client thử xin cấp (lease) hoặc renew một địa chỉ IP.

Ngoài ra, DHCP enforcement còn tích cực giảm sát tình trạng sức khỏe của NAP client để nếu client trở nên noncompliant, server sẽ tự động thay mới cấu hình địa chỉ IP chỉ cho client truy cập tới restricted network.


Vậy, DHCP enforcement làm việc ra sao?

Các bước dưới đây mô tả cách mà DHCP enforcement làm việc đối với một NAP client đang gắng nhận lấy một cấu hình DHCP cho lần đầu truy cập mạng:

1. NAP client gửi một thông điệp DHCP request chứa thông tin về tình trạng sức khỏe của nó tới DHCP server.

2. DHCP server gửi thông tin về tình trạng sức khỏe của NAP client tới NAP health policy server.

3. NAP health policy server thẩm định thông tin sức khỏe của NAP client rồi quyết định xem NAP client này có compliant (đạt tiêu chuẩn) hay không. Sau đó, nó gửi các kết quả về cho NAP client và DHCP server. Nếu NAP client là noncompliant, kết quả bao gồm một cấu hình truy cập bị giới hạn (limited access) cho DHCP server và những chỉ dẫn “điều trị sức khỏe” (health remediation) cho NAP client.

4. Nếu NAP client là compliant, DHCP server gán một cấu hình địa chỉ IP dành cho unlimited access tới NAP client và hoàn tất quá trình trao đổi các thông điệp DHCP.

5. Nếu NAP client là noncompliant, DHCP server gán một cấu hình IPv4 dành cho limited access chỉ để client truy cập tới restricted network và hoàn tất quá trình trao đổi các thông điệp DHCP. Sau đó, NAP client chỉ có thể gửi traffic tới các remediation server nằm trên restricted network.

6. NAP client gửi các yêu cầu cập nhật tới các remediation server.

7. Các remediation server cung cấp cho NAP client các cập nhật cần thiết để đảm bảo client thỏa mãn các chính sách sức khỏe (health policy). NAP client cập nhật lại thông tin về tình trạng sức khỏe của nó.

8. NAP client gửi một thông điệp DHCP request mới chứa các thông tin về tình trạng sức khỏe đã được cập nhật của nó tới DHCP server.

9. DHCP server gửi thông tin về sức khỏe đã được cập nhật của NAP client tới NAP health policy server.

10. Giả sử rằng tất cả các cập nhật cần thiết đã được thực hiện, NAP health policy server quyết định rằng NAP client là compliant và chỉ dẫn DHCP server gán một cấu hình IPv4 dành cho unlimited access tới mạng intranet.

11. DHCP server gán một cấu hình IP dành cho unlimited access tới NAP client và hoàn tất quá trình trao đổi thông điệp DHCP.

6- Quản lý tự động các thiết bị có địa chỉ IP tĩnh bằng cách tạo DHCP reservation

Bạn có thể sử dụng một reservation được tạo trên DHCP server để đảm bảo rằng một DHCP client luôn nhận cùng một địa chỉ IP tại lúc khởi động. Nếu có nhiều hơn một DHCP server mà một reserved client (máy nhận reservation) có thể liên lạc tới (reach), bạn nên tạo cùng một reservation cho client đó trên tất cả DHCP server.

Dĩ nhiên, địa chỉ IP dành cho reserved client phải nằm trong available address pool (sau khi bạn định nghĩa một scope và tạo các exclusion, các địa chỉ còn lại tạo thành available address pool trong scope này). Các pooled address (địa chỉ nằm trong available address pool) mới thích hợp để gán cho các DHCP client trên mạng).

Nếu bạn đang tạo một reservation nhằm gán một reserved IP cho một new client (máy hiện chưa nhận được IP từ DHCP server), hoặc cho một client hiện đang sử dụng một IP thông qua DHCP, bạn nên chắc rằng reserved IP này hiện chưa được DHCP server cấp phát cho bất kỳ client nào khác. Việc dành riêng một IP trong một scope không tự động ép buộc một client nào đó hiện thời đang sử dụng IP đó ngừng sử dụng nó.

Nếu bạn muốn một client hiện đang sử dụng DHCP-assigned address (IP động) chuyển sang sử dụng reserved IP, trước hết client đó cần “nhả” (release) IP động đó ra bằng cách gửi tới DHCP server một thông điệp DHCP Release. Việc “nhả” IP này xảy ra khi client tắt (shutdown) hoặc gõ câu lệnh ipconfig /release tại command prompt của máy Windows client (sau khi “nhả” IP ra thì lúc này client trở thành new client).

Việc tạo một reservation cho một new client cũng không ép buộc new client ngay lập tức chuyển sang sử dụng reserved IP đó một cách tự động. Trong trường hợp này, đầu tiên client phải gửi một thông điệp DHCP Request để xin IP từ DHCP server. Điều này xảy ra trong quá trình client khởi động hoặc tại command prompt của máy Windows client bạn gõ ipconfig /renew.

Sau khi nhận được reservation, client giờ đây luôn nhận được IP dành riêng cho nó mỗi khi nó thực hiện renew với DHCP server.

Lưu ý:

–      Riêng đối với các client đang chạy Windows 95 hoặc Windows 98, bạn có thể sử dụng chương trình Winipcfg.exe để release hoặc renew IP. Còn các client sử dụng MS-DOS, và một số client chạy các hệ điều hành khác Windows, chúng cần được khởi động lại để thay đổi về IP động có tác dụng.

–       Các reserved client có thể có các DHCP option dành riêng cho nó (và được gọi là reservation-level option). Khi mà các reservation-level option được cấu hình cho một reserved client, những giá trị trong các option này sẽ ghi đè (override) các option có trong Server Options (tác động lên toàn bộ scope mà DHCP server quản lý), Scope Options (chỉ tác động tới Scope được cấu hình) hay Class-based Options.

–      Bạn có thể tạo các reservation sử dụng bất kỳ địa chỉ IP nào có trong dãy địa chỉ của scope, thậm chí cả những địa chỉ IP nằm trong các exclusion. Chính vì điều này, khi quy tắc 80/20 (80% số lượng IP nằm trên một server, 20% lượng IP còn lại nằm ở một server khác) được thực hiện và tất cả các địa chỉ trong scope bị loại trừ (exclude), các reservation vẫn còn làm việc đúng.

–manthang.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s